อัปเดตใบรับรอง TLS สําหรับ Private Cloud

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

วิธีการที่คุณใช้ระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณระบุชื่อคีย์สโตร์และ Truststore ได้โดยใช้สิ่งต่อไปนี้

  • ข้อมูลอ้างอิง - แนะนำให้มี
  • ชื่อโดยตรง
  • ตัวแปรโฟลว์

โดยแต่ละวิธีจะมีผลต่างกันในกระบวนการอัปเดตใบรับรองตามที่อธิบายไว้ในตารางต่อไปนี้

ประเภทการกำหนดค่า วิธีอัปเดต/แทนที่ใบรับรอง วิธีอัปเดตโฮสต์เสมือน, เซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมาย
ข้อมูลอ้างอิง (แนะนำ) สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันกับชื่อแทนเดิม

สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่

 อัปเดตการอ้างอิงไปยังคีย์สโตร์หรือ Truststore

ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือตัวประมวลผลข้อความ
ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น) สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันหรือใช้ชื่อใหม่

สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่

 ส่งตัวแปรขั้นตอนที่อัปเดตสำหรับแต่ละคำขอด้วยชื่อของคีย์สโตร์ ชื่อแทน หรือ Truststore ใหม่

ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือตัวประมวลผลข้อความ
Direct สร้างคีย์สโตร์ ชื่อแทน และ Truststore ใหม่ อัปเดตโฮสต์เสมือนและรีสตาร์ทเราเตอร์

หากปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางใช้ Truststore ให้ทำให้พร็อกซีใช้งานได้อีกครั้ง
Direct ลบคีย์สโตร์หรือ Truststore แล้วสร้างใหม่โดยใช้ชื่อเดียวกัน ไม่จำเป็นต้องอัปเดตโฮสต์เสมือน ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ อย่างไรก็ตาม คำขอ API จะล้มเหลวจนกว่าจะมีการกำหนดคีย์สโตร์และชื่อแทนใหม่

หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ ให้รีสตาร์ทตัวประมวลผลข้อความ
Direct สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore หากโฮสต์เสมือนใช้ Truststore ให้รีสตาร์ทเราเตอร์

หากปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ Truststore แล้ว ให้รีสตาร์ทตัวประมวลผลข้อความ

การทดสอบใบรับรองก่อนและหลังการอัปเดต

ใช้คำสั่ง openssl ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

โดยที่ hostAlias คือชื่อแทนของโฮสต์ของโฮสต์เสมือนหรือที่อยู่ IP เช่น

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

คุณควรเห็นเอาต์พุตในรูปแบบต่อไปนี้

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

ใช้คำสั่งเดียวกันหลังจากอัปเดตใบรับรองเพื่อทดสอบ

อัปเดตใบรับรอง TLS ในคีย์สโตร์

การติดตั้งใช้งาน Edge ภายในองค์กร

  1. สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ใน Keystores และ Truststores ในคีย์สโตร์ใหม่ ให้ตรวจสอบว่าคุณใช้ชื่อสำหรับชื่อแทนคีย์เดียวกันกับที่ใช้ในคีย์สโตร์ที่มีอยู่

    หมายเหตุ: คุณลบคีย์สโตร์ปัจจุบันและสร้างคีย์สโตร์ใหม่ที่มีชื่อและชื่อแทนเดียวกันได้ ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ อย่างไรก็ตาม คำขอ API จะล้มเหลวจนกว่าจะมีการกำหนดคีย์สโตร์และชื่อแทนใหม่
  2. สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้ทำดังนี้
    1. หากโฮสต์เสมือนใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิงตามที่อธิบายไว้ในการทำงานกับข้อมูลอ้างอิง
    2. หากโฮสต์เสมือนใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
      1. อัปเดตโฮสต์เสมือนที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
      2. รีสตาร์ทเราเตอร์ทีละเครื่อง โปรดทราบว่าหากคุณลบคีย์สโตร์เก่าและได้สร้างคีย์สโตร์ใหม่โดยใช้ชื่อเดียวกันไปแล้ว คุณไม่จำเป็นต้องรีสตาร์ทเราเตอร์

        ไม่ต้องทำให้พร็อกซีใช้งานได้ใหม่
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงการ จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
    1. หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิงตามที่อธิบายไว้ในการทำงานกับข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    2. หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    3. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
      1. อัปเดตการกำหนดค่าปลายทาง/เซิร์ฟเวอร์เป้าหมายสำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
      2. สำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์จากคำจำกัดความของ TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง

        หาก TargetEndpoint อ้างอิงคำจำกัดความ TargetServer และการกำหนด TargetServer อ้างอิงคีย์สโตร์แล้ว ก็ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
      3. หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ และคุณลบ/สร้างคีย์สโตร์ที่มีชื่อเดียวกัน คุณต้องรีสตาร์ทตัวประมวลผลข้อความ Edge
  4. หลังจากที่คุณได้ยืนยันแล้วว่าคีย์สโตร์ใหม่ทำงานได้อย่างถูกต้อง ให้ลบคีย์สโตร์เก่าที่มีใบรับรองและคีย์ที่หมดอายุตามที่อธิบายไว้ข้างต้น

อัปเดตใบรับรอง TLS ใน Truststore

หากคุณใช้การอ้างอิงไปยัง Truststore กระบวนการอัปเดตใบรับรองใน Truststore จะเหมือนกับขั้นตอนสำหรับคีย์สโตร์ดังที่แสดงด้านบน ความแตกต่างเพียงอย่างเดียวมีดังนี้

  • เมื่ออัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่ ชื่อแทนจะไม่มีผลกับ Truststore
  • หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์ดังกล่าวไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกต่างหากไปยัง Truststore โดยใช้ชื่อแทนอื่นสำหรับใบรับรองแต่ละรายการ

หากใช้ชื่อโดยตรงของคีย์สโตร์และ Truststore ให้ทำดังนี้

  1. อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ใน Keystores และ Truststore คุณไม่จำเป็นต้องลบใบรับรองเก่า
  2. สำหรับโฮสต์เสมือนที่ใช้โดยการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ใน Edge ให้รีสตาร์ทเราเตอร์ทีละรายการ
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้รีสตาร์ทตัวประมวลผลข้อความ Edge Message ทีละเครื่อง
  4. ยืนยันว่า Truststore ใหม่ทำงานได้อย่างถูกต้อง